해외 사이버 보안 전문 매체 블리핑 컴퓨터가 중국발 사이버 공격 감지 소식을 보도했다.
매체는 사이버 보안 기업 센티넬 랩스(Sentinel Labs) 소속 연구팀의 발표를 인용, 중국 해커 조직 모선 드래곤(Moshen Dragon)이 중앙아시아 이동통신사를 겨냥한 사이버 공격 활동을 펼쳤다고 전했다.
모선 드래곤은 사이버 공격 도중 공격 감지 위험으로부터 방어할 능력을 갖출 정도로 능숙한 해커 집단으로 확인됐다.
공격 과정에 섀도우패드(ShadowPad)와 플러그X(PlugX) 변종 멀웨어를 사용하는 등 기존 중국 해커 조직인 레드폭스트로트(RedFoxtrot), 노마드 판다(Nomad Panda)와 비슷한 공격 수법을 사용한 사실도 드러났다.
또한, 모선 드래곤은 바이러스 방지 프로그램에 악성 윈도 DLL을 우회하려 하면서 민감 정보 탈취 및 이동, 감염된 기기를 이용한 데이터 수집 등을 시도했다.
센티넬 랩 연구팀은 트렌드마이크로(TrendMicro)와 비트디펜더(Bitdefender), 맥아피(McAfee), 시맨텍(Symantec), 카스퍼스키(Kaspersky) 등 여러 사이버 보안 기업의 바이러스 방지 프로그램을 악용한 공격을 먼저 발견했다.
모선 드래곤은 바이러스 방지 프로그램이 윈도OS에서 접근 권한이 높다는 사실을 이용해, 악성 DLL을 우회하면서 제한 수준이 매우 적은 상태에서 피해자 기기에 코드를 실행했다. 이 과정에는 윈도 관리 장치(WMI)를 통한 내부 침투와 원격 코드 실행이 수월하게 진행되도록 제작된 파이썬 키트인 임팩켓(Impacket)을 이용했다.
임팩켓은 신원 탈취를 도우면서 도메인에서도 패스워드 변경 상세 정보를 포착하는 오픈소스 툴을 포함시키며, 이를 ‘C:\Windows\Temp\Filter.log’ 파일에 작성한다.
센티넬 랩은 모선 드래곤이 임팩켓을 이용해 피해자 기기에 수동 로더를 유포하고, 각각의 기기마다 고유 DLL을 생성하는 등 교묘하게 공격을 개시했다고 언급했다.
한편, 센티넬 랩 연구팀은 모선 드래고인 이용한 로더가 지난해 12월, 보안 기업 아바스트(Avast) 연구팀이 지난해 말, 중국 해커 조직이 미국 정부 시스템을 겨냥한 공격에서 발견한 것과 같다는 점에 주목했다.
이에, 매체는 모선 드래곤이 여러 기관과 기업을 동시에 공격 대상으로 지정했거나 주요 공격 대상을 변경했을 가능성을 언급했다. 혹은 단순히 여러 중국 사이버 공격 세력이 같은 로더를 사용할 가능성도 제기할 수 있다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
